Obligation de bannière cookies en Suisse : ce qui s'applique vraiment en 2026

La question revient à chaque session de conseil : « Ai-je vraiment besoin d'une bannière cookies ? » Et selon mon interlocuteur, j'entends trois réponses complètement différentes. L'agence web dit « bien sûr, tout le monde en a une ». L'avocat dit « ça dépend ». Le directeur dit « je veux que ce soit le plus discret possible ». Tout le monde a raison quelque part — mais la réalité juridique sobre est plus concrète qu'il n'y paraît au premier abord.

La situation juridique en Suisse — court et clair

La LPD révisée ne mentionne pas les cookies nommément. Elle parle du traitement de données personnelles et du fait que ce traitement doit se faire de manière transparente. Les cookies sont techniquement de petits fichiers texte stockés dans le navigateur. Quand un cookie contient un identifiant unique permettant de retracer un comportement, c'est un traitement de données personnelles — couvert par la LPD.

La deuxième source pertinente est l'art. 45c de la loi sur les télécommunications (LTC). Elle oblige les exploitants de sites à informer leurs utilisateurs sur le traitement par cookies et à leur donner la possibilité de refuser. En pratique, la LTC a peu de mordant — il n'y a guère eu de procédures pénales sur cette base jusqu'ici.

La troisième source, et actuellement la plus importante, est la recommandation du PFPDT de février 2024. Elle formule clairement comment le PFPDT comprend une information cookies correcte : approche en couches avec premier niveau d'information, listage précis des cookies au deuxième niveau, boutons équivalents pour accepter et refuser.

Quand une bannière est-elle obligatoire ?

La règle simple : si votre site pose des cookies non nécessaires au fonctionnement, vous avez besoin d'une bannière de consentement.

Concrètement :

• Cookies nécessaires (session, panier, connexion, CSRF) : pas de bannière nécessaire, mais une mention dans la politique de confidentialité.
• Cookies fonctionnels (préférence langue, thème, filtres sauvegardés) : recommandation d'information, consentement recommandé mais pas obligatoire.
• Cookies statistiques (Google Analytics, Matomo, Plausible) : consentement recommandé — Plausible techniquement possible sans cookie.
• Cookies marketing (Meta Pixel, Google Ads, Hotjar) : consentement obligatoire.

En pratique : qui possède ne serait-ce qu'un seul cookie marketing ou statistique a besoin d'une bannière de consentement propre. Les sites sans tracking — par exemple une simple carte de visite sans analytics — peuvent s'en passer mais doivent quand même avoir une politique de confidentialité.

Le sujet RGPD que beaucoup de PME négligent

Une erreur fréquente : « Nous sommes une entreprise suisse, donc seule la LPD nous concerne. » Vrai, tant que vous visez spécifiquement le marché suisse. Mais dès que vous adressez activement une clientèle UE — par exemple via expédition de produits en Allemagne, annonces en allemand en Autriche ou newsletter avec abonnés français — le RGPD s'applique à ces visiteurs.

Que cela signifie-t-il concrètement ? La bannière RGPD pose des standards plus stricts que la LPD. En particulier :

• Le consentement doit être opt-in (pas pré-coché actif)
• « Refuser » doit être également accessible
• Le consentement doit être documenté (journal de consentement)
• Le consentement doit être révocable (aussi facilement qu'il a été donné)

Qui veut couvrir les deux mondes construit la bannière au standard RGPD. C'est aussi la recommandation du PFPDT — satisfaire des exigences plus strictes satisfait automatiquement les plus douces.

La recommandation du PFPDT en détail

La recommandation de 2024 est étonnamment pratique. Elle propose une « approche en couches » :

Premier niveau — la bannière elle-même. Doit montrer :

• Quels types de cookies sont utilisés
• Qui sont les destinataires (y compris tiers)
• Comment le consentement peut être donné ou refusé
• Un lien vers des informations détaillées

Deuxième niveau — la page détaillée des cookies. Doit lister :

• Chaque cookie individuel avec nom, fournisseur, finalité, durée de conservation
• Possibilité de choisir catégoriquement ou individuellement
• Références aux politiques de confidentialité de tiers

En pratique, niveaux 1 et 2 fusionnent souvent dans une logique modale : bannière en bas, clic sur « Paramètres » ouvre la vue détaillée. C'est acceptable tant que l'accès à la vue détaillée est intuitif.

Trois exemples pratiques du quotidien suisse

Exemple 1 — Site web d'un restaurant local. Page statique, Google Maps intégré, rien d'autre. Maps pose un cookie. Recommandation : bannière avec information et possibilité de désactiver Maps. En pratique, on charge Maps uniquement après consentement — d'ici là on affiche une carte statique ou un placeholder.

Exemple 2 — Agence web avec CRM HubSpot. Tracking HubSpot, Google Analytics, Meta Pixel. Une bannière cookies professionnelle est indispensable ici — sans consentement, aucun de ces outils ne doit charger.

Exemple 3 — Boutique en ligne suisse avec expédition DACH. Le RGPD intervient. La bannière doit être conforme RGPD, les cookies marketing ne peuvent être chargés qu'après opt-in explicite. Le journal de consentement est obligatoire — pour les demandes d'accès, il doit être prouvable quand le client a accepté quel traitement.

Conséquences en cas de violation

Le PFPDT a commencé en 2025 à contrôler les sites de manière plus ciblée. En cas de violation, une recommandation informelle d'adaptation est d'abord émise. Qui ignore ou corrige partiellement risque une recommandation formelle pouvant être rendue publique. En cas de récidive, des poursuites pénales menacent — avec la conséquence que la personne physique responsable de la violation peut être tenue jusqu'à CHF 250'000.

Réputationnellement, le dommage est souvent plus grand que la sanction financière. Une recommandation publique du PFPDT contre une PME reste consultable sur le web — et les clients prêtent de plus en plus attention à l'hygiène protection des données.

Bilan pour 2026

L'obligation de bannière cookies en Suisse n'est pas binaire « oui ou non ». Elle dépend des cookies et outils de tracking effectivement utilisés. Mais dès que quelque chose au-delà de la fonctionnalité de session tourne, une bannière de consentement propre avec approche en couches est obligatoire — pas une question de style.

Qui veut résoudre cela pragmatiquement a deux options : faire construire sa propre bannière (cher, maintenance lourde) ou utiliser une solution finie comme Aiara qui fonctionne conforme LPD et RGPD prête à l'emploi. Aiara détecte automatiquement quels cookies votre site pose et adapte la bannière y compris la page détaillée en conséquence.